一、 漏洞 CVE-2025-8383 基础信息
漏洞信息
                                        # Depicter <=4.0.4 CSRF漏洞

## 概述

Depicter 是一款 WordPress 插件,用于创建和管理文档规则。在版本 4.0.4 及以下中,存在一个**跨站请求伪造(CSRF)漏洞**,攻击者可借此未经授权修改文档规则。

## 影响版本

- 受影响版本:小于或等于 4.0.4 的 Depicter 插件版本。

## 细节

- 漏洞原因:在 `depicter-document-rules-store` 函数中**缺少或错误的 nonce 验证**。
- 攻击方式:攻击者可构造恶意请求,诱导站点管理员点击包含该请求的链接,从而成功伪造请求。

## 影响

- 未经身份验证的攻击者可以修改文档规则。
- 前提条件是管理员点击了包含恶意请求的链接。
- 此漏洞可能导致站点配置被篡改,影响网站行为或安全策略。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Depicter <= 4.0.4 - Cross-Site Request Forgery
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Depicter plugin for WordPress is vulnerable to Cross-Site Request Forgery in versions less than, or equal to, 4.0.4. This is due to missing or incorrect nonce validation on the depicter-document-rules-store function. This makes it possible for unauthenticated attackers to modify document rules via a forged request granted they can trick a site administrator into performing an action such as clicking on a link.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
跨站请求伪造(CSRF)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-8383 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-8383 的情报信息
四、漏洞 CVE-2025-8383 的评论

暂无评论

发表评论